Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie une clé publique DKIM valide — générée automatiquement avec konsoleH, fournie par toi avec ton propre serveur de messagerie.
Prérequis
- Un pack d’hébergement web Hetzner (konsoleH) ou une zone DNS chez Hetzner plus ton propre serveur de messagerie
- L’accès à la gestion DNS concernée
Qu’est-ce que DKIM ?
DKIM (DomainKeys Identified Mail) ajoute une signature numérique aux e-mails sortants. Les serveurs destinataires l’utilisent pour vérifier qu’un e-mail provient bien de ton domaine et n’a pas été modifié en transit. DKIM fonctionne avec une paire de clés : la clé privée se trouve sur le serveur de messagerie et signe ; la clé publique est dans le DNS et sert au destinataire pour la vérification.
Pour situer les choses : là où SPF autorise le serveur, DKIM sécurise le message. Ce n’est qu’avec DMARC qu’il devient une base applicable.
Le point de départ chez Hetzner
Deux scénarios, selon qui envoie tes e-mails :
A) Hébergement web konsoleH (Hetzner est ton serveur de messagerie). La fonction Activer DKIM génère automatiquement une paire de clés. Si tu utilises les serveurs de noms konsoleH, le système met en place tout de suite l’enregistrement DNS nécessaire — si tu utilises des serveurs de noms externes, konsoleH t’affiche l’enregistrement TXT à saisir manuellement.
B) Ton propre serveur de messagerie derrière Hetzner DNS. Ton serveur de messagerie (par ex. Mailcow, OpenDKIM) génère la paire de clés. Tu saisis la clé publique sous forme d’enregistrement TXT dans ta zone Hetzner DNS.
Guide étape par étape
A) Hébergement web konsoleH
1. Activer DKIM. Dans les paramètres de sécurité e-mail konsoleH de ton domaine, active la fonction Activer DKIM. Cela génère automatiquement une paire de clés.
2. Définir l’enregistrement DNS.
- Avec les serveurs de noms konsoleH : le système crée automatiquement l’enregistrement DNS DKIM — tu as terminé.
- Avec des serveurs de noms externes : konsoleH t’affiche un enregistrement TXT. Saisis-le chez ton fournisseur DNS exactement comme indiqué (nom d’hôte
selecteur._domainkey, valeurv=DKIM1; ...).
3. Optionnel : ta propre paire de clés. Tu peux aussi utiliser ta propre paire de clés. Important : la clé privée ne doit pas être protégée par mot de passe, sinon le serveur de messagerie ne peut pas signer avec.
B) Ton propre serveur de messagerie derrière Hetzner DNS
1. Générer la clé sur le serveur de messagerie. Ton serveur de messagerie génère le sélecteur et la paire de clés (avec Mailcow, par ex. dans l’interface). Tu obtiens une clé publique au format v=DKIM1; k=rsa; p=....
2. Créer l’enregistrement TXT dans la Hetzner Console :
| Champ | Valeur |
|---|---|
| Type | TXT |
| Nom | <selecteur>._domainkey (par ex. dkim._domainkey) |
| Valeur | "v=DKIM1; k=rsa; p=<your-public-key>" |
Comme pour l’enregistrement SPF, la particularité Hetzner s’applique : la valeur TXT doit être entre guillemets.
Attendre que la modification soit en ligne
Les modifications DNS prennent du temps : selon le TTL et la mise en cache, il peut s’écouler quelques heures avant que chaque serveur voie la nouvelle entrée.
Vérifier le résultat
L’enregistrement DNS seul ne suffit pas — le serveur de messagerie doit réellement signer avec la clé privée. Vérifie l’interaction avec le scanner MXAudit gratuit — il montre DKIM, SPF et DMARC d’un coup d’œil.
Erreurs fréquentes
Clé privée protégée par mot de passe. Si tu utilises ta propre paire de clés, la clé privée ne doit pas avoir de mot de passe — sinon le serveur de messagerie ne peut pas signer.
Guillemets oubliés. Dans la Hetzner Console, la valeur TXT va entre guillemets. Sans eux, la longue chaîne DKIM n’est pas stockée correctement.
Le sélecteur ne correspond pas. Le nom dans le DNS (selecteur._domainkey) doit correspondre exactement au sélecteur avec lequel le serveur de messagerie signe.
DNS défini, mais pas de signature. DKIM a besoin des deux moitiés : la clé publique dans le DNS et une signature active sur le serveur de messagerie. Vérifie les deux.
Pour aller plus loin
- Docs Hetzner : sécurité e-mail avec DKIM, SPF et DMARC (konsoleH) (consulté le 10 juillet 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM)
